Vitalik Buterin z Etherea varuje pred bezpečnostnými rizikami spojenými s agentmi umelej inteligencie a zverejňuje svoj súkromný LLM stack

Kľúčové body:

• Spoluzakladateľ Etherea Vitalik Buterin v apríli 2026 opustil cloudovú AI a spustil Qwen3.5:35B lokálne na notebooku s grafickou kartou Nvidia 5090 pri rýchlosti 90 tokenov za sekundu.
• Buterin zistil, že približne 15 % zručností agentov umelej inteligencie obsahuje škodlivé inštrukcie, pričom sa odvoláva na údaje bezpečnostnej firmy Hiddenlayer.
• Jeho open-source správcovský démon vynucuje pravidlo potvrdenia „človek plus LLM 2 z 2“ pre všetky odchádzajúce akcie v aplikácii Signal a e-mailoch smerujúcich tretím stranám.

Ako Vitalik Buterin prevádzkuje autonómny systém umelej inteligencie bez prístupu do cloudu

Buterin opísal systém ako „samosprávny / lokálny / súkromný / bezpečný“ a uviedol, že bol vyvinutý ako priama reakcia na to, čo považuje za závažné zlyhania v oblasti bezpečnosti a súkromia, ktoré sa šíria v prostredí agentov umelej inteligencie. Poukázal na výskum, ktorý ukazuje, že približne 15 % zručností agentov, alebo doplnkových nástrojov, obsahuje škodlivé inštrukcie. Bezpečnostná firma Hiddenlayer demonštrovala, že analýza jedinej škodlivej webovej stránky môže úplne kompromitovať inštanciu Openclaw, čo jej umožní sťahovať a vykonávať shell skripty bez vedomia používateľa.
„Vychádzam z presvedčenia, že práve keď sme konečne urobili krok vpred v oblasti súkromia s mainstreamovaním end-to-end šifrovania a čoraz viac softvéru uprednostňujúceho lokálne riešenia, sme na pokraji toho, že urobíme desať krokov späť,“ napísal Buterin.

Jeho hardvérom voľby je notebook s grafickou kartou Nvidia 5090 s 24 GB grafickej pamäte. Pri spustení modelu Qwen3.5:35B s otvorenými váhami od Alibaby cez llama-server dosahuje táto konfigurácia 90 tokenov za sekundu, čo Buterin označuje za cieľ pre pohodlné každodenné používanie. Testoval AMD Ryzen AI Max Pro s 128 GB zjednotenou pamäťou, ktorý dosiahol 51 tokenov za sekundu, a DGX Spark, ktorý dosiahol 60 tokenov za sekundu.

Povedal, že DGX Spark, uvádzaný na trh ako stolný superpočítač s umelou inteligenciou, nebol vzhľadom na svoju cenu a nižšiu priepustnosť v porovnaní s dobrým grafickým procesorom v notebooku nijako pôsobivý. Pokiaľ ide o operačný systém, Buterin prešiel z Arch Linuxu na NixOS, ktorý umožňuje používateľom definovať celú konfiguráciu systému v jedinom deklaratívnom súbore. Ako démon bežiaci na pozadí používa llama-server, ktorý sprístupňuje lokálny port, ku ktorému sa môže pripojiť akákoľvek aplikácia.
Poznamenal, že Claude Code môže byť nasmerovaný na lokálnu inštanciu llama-serveru namiesto serverov spoločnosti Anthropic. Sandboxing je kľúčovou súčasťou jeho bezpečnostného modelu. Používa bubblewrap na vytvorenie izolovaných prostredí z akéhokoľvek adresára pomocou jediného príkazu. Procesy bežiace v týchto sandboxoch majú prístup len k súborom, ktoré sú výslovne povolené, a k kontrolovaným sieťovým portom. Buterin zverejnil ako open source démon pre zasielanie správ na github.com/vbuterin/messaging-daemon, ktorý zahŕňa signal-cli a e-mail.
Poznamenal, že démon môže voľne čítať správy a posielať správy sám sebe bez potvrdenia. Akákoľvek odchádzajúca správa tretej strane vyžaduje výslovné schválenie človekom. Nazval to modelom „človek + LLM 2 z 2“ a povedal, že rovnaká logika platí aj pre peňaženky Ethereum. Odporučil tímom, ktoré vytvárajú nástroje peňaženiek prepojené s umelou inteligenciou, aby obmedzili autonómne transakcie na 100 USD denne a vyžadovali ľudské potvrdenie pre všetko, čo presahuje túto sumu, alebo pre akúkoľvek transakciu obsahujúcu calldata, ktorá by mohla viesť k úniku údajov.

Vzdialená inferencia podľa Buterinových podmienok

Pokiaľ ide o výskumné úlohy, Buterin porovnal lokálny nástroj Local Deep Research so svojím vlastným nastavením využívajúcim framework pi agent v kombinácii so SearXNG, vlastným meta-vyhľadávačom zameraným na súkromie. Uviedol, že pi plus SearXNG poskytujú kvalitnejšie odpovede. Ukladá si lokálny výpis z Wikipédie s veľkosťou približne 1 terabajt spolu s technickou dokumentáciou, aby znížil svoju závislosť od externých vyhľadávacích dotazov, ktoré považuje za únik súkromných údajov.

Zverejnil tiež lokálny démon na prepis zvuku na github.com/vbuterin/stt-daemon. Nástroj beží bez GPU pre základné použitie a výstup posiela do LLM na opravu a zhrnutie. Pokiaľ ide o integráciu s Ethereum, Buterin uviedol, že agenti umelej inteligencie by nikdy nemali mať neobmedzený prístup k peňaženke. Odporučil považovať človeka a LLM za dva odlišné potvrdzovacie faktory, z ktorých každý zachytáva iné režimy zlyhania.

Pre prípady, keď lokálne modely nestačia, Buterin načrtol prístup k vzdialenej inferencii zachovávajúci súkromie. Poukázal na svoj vlastný návrh ZK-API s výskumníkom Davidem, projekt Openanonymity a použitie mixnetov na zabránenie serverom v prepojovaní po sebe idúcich požiadaviek podľa IP adresy. Ako spôsob, ako v blízkej budúcnosti znížiť únik dát zo vzdialenej inferencie, uviedol aj dôveryhodné vykonávacie prostredia, pričom poznamenal, že plne homomorfné šifrovanie pre inferenciu v súkromnom cloude je na dnešné pomery stále príliš pomalé, aby bolo praktické.

Buterin na záver poznamenal, že príspevok opisuje východiskový bod, nie hotový produkt, a varoval čitateľov, aby nekopírovali presne jeho nástroje a nepredpokladali, že sú bezpečné.